人生，總是有很多高低起伏的時刻。

當(dāng)你低頭揀起一枚小小的、亮閃閃又臟兮兮的標(biāo)著“X老師”的 U 盤：意外不意外！驚喜不驚喜！開心不開心！你欣喜地把 U 盤插進(jìn)電腦，惡意程序自動運(yùn)行，gameover，對方利用你對某些老師的喜愛，搞了一把“BadUsb 釣魚”。

摩天高樓上，你站在窗戶旁，看到一架神秘的無人機(jī)飛過來，毫不知情的你還以為是哪個小朋友又在玩無人機(jī)，你嘴角一揚(yáng)：“小孩，趕緊玩，你以后就要像我這樣辛苦上班啊?！?span style="line-height: 1.8;">沒料到這架無人機(jī)搭載了一部智能手機(jī)，通過內(nèi)置黑客軟件模擬成公司打印機(jī)，只需要幾秒就可截獲打印文檔，丟失了公司機(jī)密文件的你可能馬上就要被開除了。。。

還有一些鬼畜操作可能讓參加攻防演練的安全人員氣得禿頂：

臥槽，對方拿起望遠(yuǎn)鏡偷看我方的密碼，提前半個月混進(jìn)我方，有人偽裝成某廠商運(yùn)維人員進(jìn)入辦公室。。。

事實(shí)上，現(xiàn)實(shí)攻擊的操作可能更鬼畜，吸引攻擊者的不僅有閃閃發(fā)光的有價值的數(shù)據(jù)，還有在線業(yè)務(wù)商業(yè)利益的誘惑，威脅應(yīng)用和業(yè)務(wù)安全的騷走位是安全守衛(wèi)者的痛，他們?nèi)账家瓜耄鎸粽邔映霾桓F的花招，到底要怎么搞？

融資后仍以動態(tài)安全為主線

上星期剛?cè)谫Y了一億元的瑞數(shù)公司 CTO 馬蔚彥告訴雷鋒網(wǎng)，既然攻擊方不按常理出牌，那么防守方也要“動態(tài)對抗”。

什么是動態(tài)對抗？

一億要讓走位更不正經(jīng)？？？

NONONO！

舉個栗子，一個敵人打過來，以前直接攔截就好。但是，現(xiàn)在防守方可能不是直接攔截，而是想辦法拖延它的攻擊速度，采用灰度處理、二次挑戰(zhàn)、蜜罐引流都方式對敵人進(jìn)行進(jìn)一步處理，還可以順帶發(fā)現(xiàn)背后的其他蛛絲馬跡。

也就是說，本來是只瘋狂的兔子，被折騰成了迷路的烏龜。

防守方還要誘敵深入，挖掘攻擊者背后的秘密。

瑞數(shù) CEO 余亮介紹，軟攔截技術(shù)也是動態(tài)對抗技術(shù)的一種。

比如，有一類網(wǎng)站的數(shù)據(jù)很有用，總會吸引一些奇奇怪怪的目光（你猜我說的是草榴還是“中國工商總局****”？）。做數(shù)據(jù)的公司每天一定會扒它的數(shù)據(jù)，想要攔截所有的疑似異常訪問可能會有問題，很多活動需要活躍用戶，自動化攻擊全部被攔截后，活躍用戶數(shù)蹭蹭往下掉，這個活動的考核指標(biāo)很可能達(dá)不到。

我想打你，又不能打死你。那么，不如給一定比例的疑似異常訪問導(dǎo)入一個特殊頁面，顯示不正確，對另一些訪問則延時。整個防護(hù)體系不是靜態(tài)的，可以基于業(yè)務(wù)請求產(chǎn)生各種防護(hù)模式，又不用修改任何代碼。

“ 我們有一個信用卡客戶，它在每星期五搞活動搶電影票，如果出現(xiàn)自動化工具，或者是威脅值比較高的攻擊，我們會給參與用戶設(shè)定威脅值，直接告訴威脅值超過 70% 的人，你比正常人搶電影票慢30秒，根本不用攔截，威脅值超過 50％ 的用戶，我會返回一個動態(tài)挑戰(zhàn)，進(jìn)一步識別真人還是機(jī)器?！庇嗔琳f。

五大“武器”，兩主一新

基于上述的對抗理念，在宣布融資當(dāng)天，瑞數(shù)推出了五大武器：App 動態(tài)安全防護(hù)系統(tǒng)、API 動態(tài)安全防護(hù)系統(tǒng)、全息數(shù)據(jù)透視系統(tǒng)、業(yè)務(wù)威脅感知系統(tǒng)、IoT 動態(tài)安全防護(hù)系統(tǒng)。

我們先來看看官方介紹：

• App 動態(tài)安全防護(hù)系統(tǒng)（App BotDefender）：以“動態(tài)防護(hù)”技術(shù)為核心，通過甄別非法客戶端和仿冒正常請求的已知和未知自動化攻擊，為各類原生 App、H5及混合應(yīng)用及微信等多應(yīng)用入口提供統(tǒng)一的安全防護(hù)，覆蓋從 App 客戶端到 App 服務(wù)端的一體化安全防護(hù)。

• API 動態(tài)安全防護(hù)系統(tǒng)（API BotDefender）：獨(dú)特的 ADMP 安全模型實(shí)現(xiàn)覆蓋 API 感知、發(fā)現(xiàn)、監(jiān)控和保護(hù)四大模塊的 API 安全解決方案。可以對來源環(huán)境及用戶行為進(jìn)行感知，從而自動發(fā)現(xiàn) API，并對所有異常 API 請求行為進(jìn)行監(jiān)控與告警，可借助動態(tài)響應(yīng)機(jī)制，對異常 API 請求進(jìn)行攔阻、限速或欺騙等響應(yīng)動作。

• 業(yè)務(wù)威脅感知系統(tǒng)（Biz Insight）：由瑞數(shù)動態(tài)安全引擎和 AI 人工智能引擎共同打造的多層次、多維度業(yè)務(wù)威脅感知技術(shù)，將傳統(tǒng)業(yè)務(wù)風(fēng)控體系延伸到客戶端，實(shí)現(xiàn)風(fēng)控前置，借助可編程對抗技術(shù)，實(shí)現(xiàn)持續(xù)對抗自動化攻擊和由此帶來的業(yè)務(wù)欺詐行為。

• 全息數(shù)據(jù)透視系統(tǒng)（Data Insight）：作為一個可以針對多源異構(gòu)海量數(shù)據(jù)的分析平臺，可采集、整理任何格式的機(jī)器數(shù)據(jù)，其索引后格式化技術(shù)，可對任意字段，按需提取，便于根據(jù)業(yè)務(wù)、安全不同部門需求，快速開發(fā)，快速迭代，提供所想即所得的數(shù)據(jù)分析、搜索、報表和可視化能力。以應(yīng)用視角為核心，實(shí)現(xiàn)業(yè)務(wù)安全威脅監(jiān)測、應(yīng)用安全攻擊監(jiān)測、應(yīng)用運(yùn)維安全監(jiān)控分析等功能。

• IoT 動態(tài)安全防護(hù)系統(tǒng)（IoT BotDefender）：以 AI人工智能技術(shù)輔助動態(tài)安全，實(shí)時阻擋各類IoT惡意代碼攻擊及零日漏洞攻擊，提供 IoT 設(shè)備、IoT 應(yīng)用及跨 IT/OT 的網(wǎng)關(guān)安全三方面的全程動態(tài)防護(hù)，降低維護(hù)成本，節(jié)約服務(wù)器資源和帶寬。

雷鋒網(wǎng)宅客頻道了解到，這是瑞數(shù)在推出 Web 端動態(tài)防范后，將安全版圖拓展到包含移動端、云端、API 及 IoT 應(yīng)用安全在內(nèi)的業(yè)務(wù)和應(yīng)用安全領(lǐng)域的最新舉措。

實(shí)際上，瑞數(shù)該五大武器的產(chǎn)品負(fù)責(zé)人吳劍剛對雷鋒網(wǎng)說，從目前瑞數(shù)的客戶所有的接入渠道看，App 端的訪問量會比網(wǎng)站大，基本是 80% 和 20% 的局面，所以 App 的動態(tài)安全防護(hù)方案是主推的解決方案，同時面向應(yīng)用與業(yè)務(wù)的安全，已然成為攻守兩方角力的重點(diǎn)，業(yè)務(wù)威脅感知則是另一個主力方案。與此同時，在數(shù)據(jù)和業(yè)務(wù)服務(wù)開放的當(dāng)下，API 成為新崛起的流量，瑞數(shù)看好很有活力的云端市場，API 動態(tài)安全防護(hù)系統(tǒng)成了一個“新秀”方案。

下面，我們剖析一下上述“兩主一新”的武器。

與以往的 App 安全防護(hù)方案不同的是，這個安全方案可同時對 App、H5、WebView、網(wǎng)頁進(jìn)行防護(hù)，這是其主打賣點(diǎn)之一。

很多傳統(tǒng)金融業(yè)客戶為了防止逆向和反編譯，做了App 加殼加固，但事實(shí)上，用戶不可能每次搞活動都升級手機(jī) App，瑞數(shù)觀察到，很多用戶會把大量的促銷放在 H5 頁面上。

H5 頁面如何與身份驗(yàn)證的要素結(jié)合？如何發(fā)現(xiàn)居心叵測的攻擊者或者羊毛黨？

傳統(tǒng)解決方案依靠生成設(shè)備指紋、設(shè)備信譽(yù)做安全防控，但都基于 App ，H5頁面上根本沒有任何信息，吳劍剛介紹，這個“武器”把App 跟 H5 的“指紋”關(guān)聯(lián)，建立“端到端”防護(hù)，跟傳統(tǒng)方案只防護(hù)App 或者服務(wù)器端不同的是，把 App 端和服務(wù)器端雙向防護(hù)起來。

除了應(yīng)用威脅，還要應(yīng)對通用性業(yè)務(wù)威脅，這就是業(yè)務(wù)威脅感知系統(tǒng)（Biz Insight）作為另一個主力方案的原因。這個以業(yè)務(wù)邏輯漏洞和業(yè)務(wù)邏輯濫用為核心的方案，本質(zhì)上是個“感知+分析”的系統(tǒng)，可以理解為用戶行為分析系統(tǒng)。Biz Insight 識別和分析利用業(yè)務(wù)邏輯上的漏洞點(diǎn)進(jìn)行訪問的這些行為，從而形成了業(yè)務(wù)欺詐行為或者業(yè)務(wù)威脅行為的感知、識別、分析，同時借助可編程對抗，軟阻攔技術(shù)等攔截。

馬蔚彥告訴雷鋒網(wǎng)，Biz Insight 與傳統(tǒng)反欺詐類產(chǎn)品的差別和優(yōu)勢在于：

1） 動態(tài)技術(shù)讓這些欺詐行為的識別更靠前端，不是傳統(tǒng)的基于服務(wù)器側(cè)的日志，而是通過對客戶端 300多種信息的采集，在客戶端訪問還沒有到達(dá)業(yè)務(wù)系統(tǒng)前實(shí)現(xiàn)人機(jī)識別，將整個風(fēng)控體現(xiàn)延伸到客戶端，實(shí)現(xiàn)風(fēng)控前置。

2） 內(nèi)置了OWASP 21種自動化威脅模型。傳統(tǒng)風(fēng)控與業(yè)務(wù)關(guān)聯(lián)度高，定制性大，并且對于自動化工具的欺詐行為分析是薄弱的。Biz Insight 更聚焦在通用的欺詐行為——自動化威脅行為，并且采用行業(yè)內(nèi)的標(biāo)準(zhǔn)分類，固化到產(chǎn)品中。既是補(bǔ)足和加強(qiáng)，同時其一定程度的通用性也降低了成本。

瑞數(shù)的 API 動態(tài)安全防護(hù)方案與其他武器的不同之處在于，首先，這個武器會感知任何渠道通過 API 進(jìn)入的方法，自動發(fā)現(xiàn)、監(jiān)控業(yè)務(wù)鏈條里所有的 API ，并實(shí)施攔截或者其他按需供給的動態(tài)方案。

這是一件很難的事情。一項(xiàng)業(yè)務(wù)里到底有多少 API，這是一個基本沒有人可以回答的問題，開發(fā)商換來換去，用戶也不可能知道自己所有的 API 接口。

在 API 多到“親媽都不知道時”，偽造一個 API 很簡單。吳劍剛說，用戶在開放能力時，會開放一些信息供人查詢，只要大致了解有什么 API，模擬一個 API 就可以通過查詢把數(shù)據(jù)全部“拿走”。更嚴(yán)重的是，用戶的 API 接口可能因此被刷爆，異常訪問流量一擁而入，正常訪問卻沒法進(jìn)行。

因此，自動感知、發(fā)現(xiàn)業(yè)務(wù)上所有的 API，將關(guān)鍵 API 自動導(dǎo)入監(jiān)控平臺，監(jiān)控所有的 API 行為是否異常就顯得很重要。

這五大“武器”會先用在哪里？

從瑞數(shù)已有的客戶群體來看，政府、金融、電信、醫(yī)療、教育、電力能源、互聯(lián)網(wǎng)等行業(yè)和領(lǐng)域可能是目標(biāo)。為了將動態(tài)安全的系列解決方案推向市場，宣布融資之時，英邁中國正式與瑞數(shù)信息達(dá)成總分銷合作協(xié)議。余亮表示，瑞數(shù)將集中精力開拓金融、運(yùn)營商等頭部客戶，將出版業(yè)等領(lǐng)域交由分銷商拓展。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。